JS 应用&安全案例&泄漏云配置&接口调试&代码逻辑&框架漏洞自检

在 Javascript 中也存在变量和函数，当存在可控变量及函数调用即可参数漏洞。
JS 开发应用和 PHP ， JAVA 等区别在于即没源代码，也可通过浏览器查看源代码。
获取 URL ，获取 JS 敏感信息，获取代码传参等，所以相当于 JS 开发的 WEB 应用属于白
盒测试，一般会在 JS 中寻找更多 URL 地址，（加密算法， APIkey 配置，验证逻辑，框
架漏洞等）进行后期安全测试。
1 、会增加攻击面（ URL 、接口，分析调试代码逻辑）
2 、敏感信息（用户密码、 ak/sk 、 token/session ）
3 、潜在危险函数（ eval 、 dangerallySetInnerHTML ）
4 、开发框架类 ( 寻找历史漏洞 Vue 、 NodeJS 、 Angular 等 )
打包器 Webpack ： PackerFuzzer
AK/SK 云安全利用：工具箱 CF （云安全后续会讲更多）
浏览器插件： Pentestkit FindSomething Wappalyzer （前期的 JS 收集项目）